2019-11-14T19:14Z Bernd: Hallo @Erich#1
2019-11-14T19:14Z Bernd: Mal wieder unter einem anderen Nick unterwegs?
2019-11-14T19:15Z Bernd: Hallo @Erich
2019-11-14T19:16Z Bernd: Die -fast-Version von Gforth hat zur Zeit Probleme.
2019-11-14T19:33Z Erich: Bla?
2019-11-14T19:33Z Bernd: Hallo!
2019-11-14T19:33Z Bernd: Immerhin kommt ein Bla.
2019-11-14T19:34Z Erich: Hallo Meister!
2019-11-14T19:34Z Erich: das -ipv6 scheint einen Unterschied zu machen.
2019-11-14T19:34Z Erich: Die Version ist das aktuelle Zeug, vor 25 Minuten aktualisiert.
2019-11-14T19:36Z Bernd: Hast du die Kombination gefunden, die geht ;-)
2019-11-14T19:36Z Erich: heise: "Gericht: Durchgehende Verschlüsselung beim Anwaltspostfach nicht nötig" --- Weia.
2019-11-14T19:36Z Bernd: Im Docker geht im Moment auch nichts. Das ist mein IPv4-only-Testcase.
2019-11-14T19:36Z Bernd: Sonst habe ich das ja nicht...
2019-11-14T19:36Z Bernd: Überall IPv6.
2019-11-14T19:37Z Erich: Dafür hast Du mich :-)
2019-11-14T19:37Z Bernd: Haha.
2019-11-14T19:37Z Bernd: Gforth hat in der letzten Woche die lange geplanten Sections aktiviert bekommen.
2019-11-14T19:37Z Bernd: Deshalb hakts bei gforth-fast derzeit auch noch etwas.
2019-11-14T19:38Z Bernd: Irgendwie beißt sich die Optimierung dort mit den Sections.
2019-11-14T19:38Z Bernd: Auch nicht so richtig reproduzierbar.
2019-11-14T19:39Z Bernd: Im net2o-Code habe ich dreimal Murx gefunden. Einmal wurde eine eigene IP-Adresse beim Start überschrieben durch Müll.
2019-11-14T19:39Z Bernd: Dann ist der Hash-Code für die Hash-Table nicht Thread-fähig gewesen.
2019-11-14T19:39Z Bernd: Also eine Race condition ist möglich.
2019-11-14T19:41Z Bernd: Und der Rest war diverses Gefrickel ;-)
2019-11-14T19:41Z Erich: Tja, diese ganze digitale Wunderwelt --- alles nicht so einfach. Irgendwie hält es mich seit >20 Jahren in Lohn und Brot, wie man sagt. Aber manchmal hab ich inzwischen die Nase voll. :-/
2019-11-14T19:42Z Bernd: Ich ess' jetzt erst mal was
2019-11-14T19:42Z Bernd: Away from keyboard
2019-11-14T19:43Z Erich: Mahlzeit!
2019-11-14T19:55Z Bernd: I'm back
2019-11-14T19:56Z Bernd: Also, was mich am meisten verunsichert hat heute war dieser Intel-Bug bei Fefe. Sprünge, die nicht-deterministisch werden???
2019-11-14T19:56Z Bernd: Und das ist ein Bug seit Skylake...
2019-11-14T19:58Z Erich: Ja, das klingt nicht gut. Auch die /erfolgreichen/ timing Attacken auf das TPM Gedöns nicht.
2019-11-14T20:00Z Bernd: Das überrascht mich aber gar nicht. Diese NIST-Kurven sind so konstruiert, dass man sie so erfolgreich angreifen ann.
2019-11-14T20:00Z Bernd: Das überrascht mich aber gar nicht. Diese NIST-Kurven sind so konstruiert, dass man sie so erfolgreich angreifen kann.
2019-11-14T20:00Z Bernd: DJB warnt schon länger vor diesen Kurven. Auch aus diesem Grund.
2019-11-14T20:01Z Bernd: Immerhin ist jetzt belegt, dass er nicht einfach nur paranoid ist.
2019-11-14T20:01Z Bernd: DJBs Kurven sind so konstruiert, dass man constant-time/current-Implementierungen relativ einfach hinbekommt.
2019-11-14T20:02Z Bernd: Also: Es bringt nur einen unwesentlichen Performance-Vorteil, wenn man das nicht macht. Bei NIST ist der Performance-Vorteil sehr deutlich.
2019-11-14T20:02Z Erich: Naja, ob ecDSA doof ist, ist eine Sache. Dass der TPM einen private Key /rausrückt/ durchaus eine andere. Das hat ja nixx mit der Krypto selbst zu tun. Oder hab ich was übersehen?
2019-11-14T20:03Z Bernd: Doch, hast du.
2019-11-14T20:03Z Erich: Aha?
2019-11-14T20:03Z Bernd: Also, du musst bei Signatur oder DHE einmal pka*skb machen.
2019-11-14T20:04Z Bernd: Wenn die Operation * so gestaltet ist, dass es einen sehr deutlichen Performance-Vorteil gibt, wenn man alle 0en in skb einfach durch verdoppeln implementiert, und alle 1en durch verdoppeln+addieren, dann macht man das.
2019-11-14T20:04Z Bernd: Also als dummer Implementierer.
2019-11-14T20:05Z Bernd: verdoppeln und verdoppeln+addieren ist erkennbar unterschiedlich schnell. Und verbraucht unterschiedlich viel Strom.
2019-11-14T20:05Z Bernd: Und schon kann der Mann mit dem Scope an der Versorgungsspannung den skb auslesen.
2019-11-14T20:05Z Erich: Das hab ich verstanden, sonst würde man einen timing attack gar nicht fahren können.
2019-11-14T20:06Z Bernd: Wenn der Schritt “addieren” teuer ist, dann neigt man zu dieser Abkürzung.
2019-11-14T20:06Z Bernd: Wenn er billig ist, lohnt sich das Gedöns nicht, und man kann das richtig implementieren.
2019-11-14T20:06Z Erich: Wenn man aber einen anderen key aus dem TPM /gewinnen/ könnte, dann ist das halt für das andere Verfahren doof.
2019-11-14T20:06Z Bernd: Du kannst immer nur den Key gewinnen, der gerade benutzt wird.
2019-11-14T20:06Z Bernd: Andere nicht.
2019-11-14T20:07Z Erich: Auch klar, man muss ihn anfragen.
2019-11-14T20:08Z Erich: Aber wenn das crypto-Verfahren ein anderes ist, und es ist so implementiert, dass man nicht immer gleich lang braucht (oder gleich stromgierig) dann ist das halt doof. Welches Verfahren das ist, ist am Ende doch vollkommen wurscht.
2019-11-14T20:09Z Bernd: Das gute daran ist, dass man jetzt ein Lösung für das Token-Cloning hat, was bei TPMs immer so schwer war ;-)
2019-11-14T20:09Z Bernd: Wenn das Verfahren nur sehr mühsam korrekt implementierbar ist, wird es in der Regel falsch implementiert.
2019-11-14T20:09Z Bernd: Das ist bei den NIST-Kurven der Fall.
2019-11-14T20:10Z Bernd: Das ist nicht die erste erfolgreiche Timing-Attacke auf diese Kurven. Das kommt ständig vor.
2019-11-14T20:10Z Bernd: Bei den DJB-Kurven ist die Referenz-Implementierung schon gleich richtig, und wer die nimmt, kann kaum was falsch machen.
2019-11-14T20:11Z Bernd: Wobei ich da durchaus auch Probleme gefunden habe. Etwa, dass die secred Keys, die auf dem Stack ausgepackt werden, nicht wieder gelöscht werden.
2019-11-14T20:12Z Bernd: Oder dass die ed25519-Library zum Signaturen checken zwar eine Operation hat, die man für Diffie-Hellman verwenden kann (auch), aber die hat keine konstante Ausführungs-Zeit.
2019-11-14T20:12Z Bernd: Da hat auch jemand gleich die erste Abkürzung genutzt.
2019-11-14T20:13Z Bernd: Die irgendwie 5% bringt oder so. Nur 5%.
2019-11-14T20:13Z Erich: Für Batterie äh Schmierfon-junkies ist das u.U. lebensgefährlich :-)
2019-11-14T20:15Z Bernd: Beim Signatur-Check werden da ja keine Geheimnisse eingeworfen, da kann man das machen.
2019-11-14T20:16Z Bernd: Aber man muss dann halt noch eine Variante mit konstanter Zeit implementieren.
2019-11-14T20:17Z Bernd: Jedenfalls habe ich im Moment bei gforth-fast einen Compiler, dem ich definitiv nicht traue. Das ist auch sehr übel, das muss dringend gefixt werden.
2019-11-14T20:18Z Bernd: Und die Tests laufen alle durch, weil die Probleme nur „modernes Forth“ betreffen, bei denen diese Sections was bringen.
2019-11-14T20:18Z Bernd: Also Code mit Quotations und so.
2019-11-14T20:23Z Erich: Wo steckt eigentlich der Martin?
2019-11-14T20:24Z Bernd: Der hat schon vorgewarnt, dass er heute nicht dabei sein wird.
2019-11-14T20:25Z Bernd: AFAIK im Rahmen der CCC-Ticket-Aktion.
2019-11-14T20:26Z Bernd: Außerplanmäßiges MeetUp-Forthtreffen war die Ausrede.
2019-11-14T20:27Z Bernd: Wir haben 6 Tickets erstehen können, die noch fehlten.
2019-11-14T20:28Z Erich: Cool.
2019-11-14T20:30Z Bernd: Drei mal früh genug in der Queue und jedesmal das Maximum von 2 Tickets erstanden.
2019-11-14T20:33Z Bernd: Ich weiß jetzt nicht genau, ob Helmar oder Nina früh genug in der Queue waren, aber ansonsten war es Claudia und ich.
2019-11-14T20:33Z Bernd: Wenn es wirklich Nina war, dann wäre das sehr signifikant für Männer-Diskriminierung.
2019-11-14T20:34Z Bernd: 11 Leute, 2 Frauen, Ticket-Queue 2:1.
2019-11-14T20:34Z Bernd: Eine Ticket-Queue 1:2 wäre noch nicht <5%.
2019-11-14T20:34Z Bernd: Aber 2:1 ist 0,5%.
2019-11-14T20:39Z Bernd: Hier ist ein praktischer Online-Rechner: https://www.socscistatistics.com/tests/ztest/default2.aspx
2019-11-14T20:40Z Erich: Das ist mir für heute abend zu hoch. Ich schwank jetzt in die Heia.
2019-11-14T20:40Z Erich: trollt sich.
2019-11-14T20:41Z Bernd: Ciao!
2019-11-14T20:41Z Bernd: macht das Licht aus
2019-11-14T20:42Z Erich: Ciao.